Freigeben über

Clustern des Geheimen Masterschlüsselservers

  • Artikel

Es wird dringend empfohlen, die Anweisungen in diesem Abschnitt zu befolgen, um den Enterprise Single Sign-On-Dienst (SSO) erfolgreich auf dem master Geheimserver zu clustern.

Bevor Sie mit dem Konfigurieren des einmaligen Anmeldens in einer Clusterumgebung beginnen, sollten Sie sich mit der Funktionsweise des Clusterings vertraut machen.

Wenn Sie den master geheimen Server clustern, kommunizieren die Einzel Sign-On Server mit dem aktiven gruppierten instance des master Geheimservers. In ähnlicher Weise kommuniziert das aktive gruppierte instance mit der Credential-Datenbank.

Dieses Verfahren können Sie nur als SSO-Administrator ausführen.

Achtung

Sie können den Server für den geheimen Hauptschlüssel nicht auf einem Netzwerklastenausgleich-Cluster (Network Load Balancing, NLB) installieren.

So clustern Sie den master Geheimserver

  1. Führen Sie eine benutzerdefinierte Installation durch, um den master geheimen Server auf dem ersten Knoten des Clusters (z. B. ClusterNode1) zu installieren.

  2. Wählen Sie im Konfigurations-Assistenten auf der Seite Konfigurationsfragen in der Liste Ist dies der master geheimer Server? die Option Ja aus, und klicken Sie dann auf Weiter.

  3. Geben Sie die Anmeldeinformationen des Dienstkontos für den SSO-Dienst an. Dies muss ein Mitglied des Gruppenkontos der SSO-Administratoren sein.

  4. Geben Sie den Speicherort der SQL Server- und SSO-Anmeldeinformationsdatenbank (SSODB) an.

  5. Sichern Sie das master Geheimnis auf dem aktiven Knoten.

  6. Führen Sie eine benutzerdefinierte Installation durch, um den master Geheimserver auf dem zweiten Knoten des Clusters (ClusterNode2) zu installieren.

  7. Verwenden Sie den Konfigurations-Assistenten , um einen Enterprise SSO Server auf dem zweiten Knoten des Clusters zu konfigurieren. Wählen Sie dieses Mal jedoch Nein aus, wenn Sie die Frage in Schritt 2 erreichen, da dies nicht die Erstinstallation des master Geheimservers ist.

  8. Klicken Sie auf Weiter, und schließen Sie dann den Konfigurations-Assistenten ab.

  9. Beenden Sie den SSO-Dienst, indem Sie an der Befehlszeile eingeben net stop entsso .

  10. Ändern Sie den Namen des master geheimen Servers in der Datenbank für SSO-Anmeldeinformationen in den Clusternamen. Wenn der Cluster beispielsweise MSS_CLUSTER heißt, ändern Sie den Namen von ClusterNode1 in MSS_CLUSTER.

  11. Verwenden Sie einen Text-Editor, um den folgenden Code in eine .xml-Datei (z. B. MSS CLUSTER.xml) einzufügen und die Datei zu speichern:

    <sso>  
  <globalInfo>  
     <secretServer>MSS_CLUSTER</secretServer>  
</globalInfo>  
   </sso>

  12. Navigieren Sie an der Befehlszeile zum Installationsverzeichnis Für Enterprise Single Sign-On. Der Standardwert ist Programme\Common Files\Enterprise Single Sign-On.

  13. Geben Sie ein ssomanage -updatedb <filename> , wobei filename der Name der .xml Datei im vorherigen Schritt ist. Dadurch wird der name des master Geheimservers in der Datenbank aktualisiert.

    Ignorieren Sie alle Laufzeitfehler. Der Microsoft Distributed Transaction Coordinator (DTC) wurde nicht für die Ausführung in einem Cluster konfiguriert und kann möglicherweise nicht gestartet werden.

  14. Öffnen Sie eine Eingabeaufforderung auf master Geheimserver 1, und geben Sie eincomclust -a.

  15. Klicken Sie in der Konsole Dienste mit der rechten Maustaste auf Distributed Transaction Coordinator, und klicken Sie dann auf Neu starten.

  16. Öffnen Sie eine Befehlszeile auf master Geheimserver 2, und geben Sie eincomclust -a.

  17. Klicken Sie in der Konsole Dienste mit der rechten Maustaste auf Distributed Transaction Coordinator, und klicken Sie dann auf Neu starten.

  18. Öffnen Sie den Clusteradministrator, und klicken Sie dann auf die Clustergruppe mit dem master geheimen Serverclusters.

  19. Zeigen Sie im Menü Datei auf Neu, und klicken Sie anschließend auf Ressource.

    Das Fenster Neue Ressource wird geöffnet.

    Geben Sie unter Name den Namen der SSO-Ressource ein (z. B. ENTSSO).

    Wählen Sie unter Ressourcentypdie Option Generischer Dienst aus.

  20. Fügen Sie im Fenster Mögliche Besitzer jeden Clusterknoten als möglichen Besitzer der ENTSSO-Ressource ein.

  21. Nachdem Sie die ENTSSO-Ressource erstellt haben, klicken Sie mit der rechten Maustaste auf ENTSSO, und klicken Sie dann auf Eigenschaften.

  22. Klicken Sie im Dialogfeld Clustereigenschaften auf die Registerkarte Sicherheit , und vergewissern Sie sich, dass der Benutzer, unter dem die Anwendung ausgeführt wird, über ausreichende Benutzerrechte (nicht über einen lokalen Administrator) für den Zugriff auf den Cluster verfügt.

  23. Öffnen Sie den Clusteradministrator, klicken Sie mit der rechten Maustaste auf die Clustergruppe mit dem master geheimen Serverclusters, und klicken Sie dann auf Gruppe verschieben.

    Dadurch wird der master Geheimserverressourcen vom ersten Knoten auf den zweiten Knoten verschoben.

  24. Klicken Sie auf Start, auf Ausführen, und geben Sie dann ein cmd.

  25. Navigieren Sie an der Eingabeaufforderung zum Installationsverzeichnis "Enterprise Single Sign-On". Der Standardwert ist <Laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.

  26. Geben Sie einssoconfig -restoresecret <restore file>, wobei <die Wiederherstellungsdatei> der Pfad und der Name der Sicherungsdatei ist, die den master Geheimnis enthält.

Weitere Informationen

Server für den geheimen Hauptschlüssel
Installieren des einmaligen Anmeldens für Enterprise
Installationsoptionen für Hochverfügbarkeit